روبوتات «فوربيكس» تشن «هجمات فدية» عبر رسائل خداعية

أكد خبراء بأمن المعلومات أن الروبوتات البرمجية المعروفة باسم «فوربيكس» تشن، حالياً، هجمة أمنية واسعة النطاق عالمياً، تستهدف بها ما يزيد على 3% من الشركات والمؤسسات بالدول المختلفة، وتعمل من خلالها على نشر برمجيات خبيثة، من بينها فيروسات الفدية التي تشفر الملفات والأجهزة وتطلب أموالاً لفك تشفيرها، وفيروسات «تعدين العملات الرقمية» التي تسرق موارد الحاسبات و«تستعبدها» في توليد العملات الرقمية، فضلاً عن البرمجيات الخبيثة التي تستهدف التحكم في الحاسبات عن بُعْد.

صدر هذا التحذير عن فريق من خبراء أمن المعلومات، يعمل بشركة «تشيك بوينت» المتخصصة في حلول أمن المعلومات، عبر بيان نشر على المدونة الرسمية للشركة blog.checkpoint.com، ورصدت فيها أنشطة هذه النوعية من الروبوتات البرمجية السيئة السمعة، بعدما تصاعدت وانتقلت من المركز الثاني عشر على قائمة أبرز مصادر التهديدات والهجمات الأمنية عالمياً في مايو إلى المركز الثاني في يونيو، ولاتزال تشن هجمات عالية الخطورة في يوليو.

هجمات يونيو

وقال خبراء «تشيك بوينت» إن روبوتات «فوربيكس» البرمجية التابعة لمحترفي الجريمة الإلكترونية قامت، خلال الشهر الماضي، بتنفيذ عدد من حملات الرسائل الإلكترونية الخداعية، التي استهدفت من خلالها ما يزيد على 3% من إجمالي الشركات حول العالم، وهي نسبة مرتفعة، مقارنة بالهجمات الكبرى المماثلة.

ومن خلال هذه الرسائل، تصيدت الآلاف من حاسبات الموظفين والعاملين الذين انخدعوا بهذه الرسائل، وقاموا بفتحها، فأفرغت على الفور حمولتها من الفيروسات والبرمجيات الضارة على حاسباتهم، ثم نشرتها للحاسبات الأخرى المشاركة لها في شبكات معلومات المؤسسات والشركات.

ونشرت روبوتات «فوربيكس» البرمجية، خلال هذه الهجمات، العديد من البرمجيات الضارة والفيروسات، من خلال هجمات عدة، كان من بينها هجمة عرفت باسم «أفادون لبرمجيات الفدية»، واستخدمت فيها الروبوتات رسائل خداعية محتوية على ملف مضغوط بنمط «زد آي بي» الشهير في ضغط البرامج، يظهر على هيئة رسم رمزي (إيموجي)، وشنوا حملة أخرى باسم «ترايك»، لتوزيع برامج وفيروسات التشفير والفدية، وكان من بينها فيروس «جاند كراب»، و«بوني». بالإضافة إلى برامج تعدين عملات الإنترنت الرقمية المشفرة. ثم شنت حملة ثالثة كانت هي الأخطر والأوسع نطاقاً من نوعها على الإطلاق خلال يونيو، وتم خلالها نشر برنامج «تيسلا إيجنت»، وهو عبارة عن برنامج خبيث من فئة «حصان طروادة»، متخصص في سرقة المعلومات، والتلصص على لوحات المفاتيح، وتسجيل كل الحركات التي تتم عليها «كي لوجر»، حيث يوفر للمهاجمين القدرة على متابعة كل شيء على الحاسب المصاب تماماً، بما في ذلك أسماء المستخدمين وكلمات المرور وسجل المتصفح ومعلومات النظام، وغيرها من الأشياء المطلوبة للسيطرة على الحاسب، وشبكة المعلومات المرتبط بها أيضاً. ورصد خبراء، قيام روبوتات «فوربيكس» بنشر برنامج «إكس إم ريج»، وهو برنامج مفتوح المصدر، ومتخصص في سرقة موارد الحاسب من قوة الحوسبة بالمعالج، وسعة الذاكرة الإلكترونية المؤقتة (الرامات)، لاستخدامها في عمليات تعدين وتوليد العملات الرقمية، ويعد ثالث أخطر البرامج الضارة التي تم اكتشافها خلال يونيو، وتعود بداياته إلى عام 2017، حينما تم رصده لأول مرة. واكتشف الباحثون برامج أخرى ضارة، ظهرت خلال هجمات يونيو، منها «دريديكس»، و«تريكبوت»، و«رامنيت»، و«إيموتيت»، وجميعها كانت منذ فترة طويلة عناصر أساسية في النشاط الإجرامي عبر الإنترنت، إما عن طريق سرقة المعلومات بنفسها، أو استخدامها كنقطة انطلاق لشن حملات أكثر تدميراً.

الهجمة الحالية

وأوضح باحثون في «تشيك بوينت» أن أنشطة روبوتات «فوربيكس» لم تهدأ أو تخف خلال يوليو الجاري، وهي تشن حالياً حملة واسعة عبر الرسائل الإلكترونية الخادعة، المحتوية على ملفات مرفقة في صورة رسوم رمزية (إيموجي)، بعضها يحمل إيحاءات بوجود محتوى مخالف، وتحاول هذه الهجمة استغلال ثلاث نقاط ضعف أمنية لدى المؤسسات: الأولى ثغرة أمنية معروفة باسم «OpenSSL TLS DTLS Heartbeat Information Disclosure» وتؤثر في 45% من المؤسسات على مستوى العالم، والثانية «MVPower DVR Remote Code Execution» وتؤثر في 44%، والثالثة «Git Repository Git» وتؤثر في 38% من المؤسسات، ويقدر الباحثون أن أكثر من مليون حاسب حول العالم تعمل بنظام «ويندوز» مصابة حالياً ببرمجيات «فوربيكس» الخبيثة.

تثقيف الموظفين

أكدت شركة «تشيك بوينت» أنه يتعين على المؤسسات تثقيف الموظفين حول كيفية تحديد أنواع البريد الدعائي المزعج التي تحمل هذه التهديدات، مثل الحملة الجارية التي تحتوي على «غمزة إيموجي» ذات إيحاءات خاصة، وحذف هذه الرسائل على الفور حين رؤيتها، لتفادي الهجمة. وأضافت الشركة أن العديد من الأشكال الشائعة للبرامج الضارة بالهجمة، تعتمد على الثغرات ونقاط الضعف المعروفة منذ فترة طويلة، لذلك يمكن التصدي لها من خلال تطبيق تصحيحات الأمان المتوافرة.